Chương 1: Giới thiệu về dé tài. Lý do chọn dé tài, mục tiêu, phạm vi và phương pháp nghiên cứu. Chương 2: Cơ sở lý thuyết. Tìm hiểu tổng quan hệ thong ERP, cau trúc hệ thong, cách thức thiết lập, chức năng bảo mật, an toàn thông tin của hệ thông SAP ERP R/3, trình bày các tiêu chuẩn liên quan đến quản lý an toàn thông tin ISO 27001:2013, đạo luật SOX Chương 3: Thiết kế nội dung nghiên cứu: Từ các chuẩn bảo mật đã nghiên cứu, thiết lập cách cài đặt những thông số bảo mật phù hợp cho hệ thong và thiết kế cau hình Security Audit Log.
Chương 4: Giới thiệu hệ thông phân quyên trong SAP và dé xuất ma trận kiểm soát chồng lẫn quyên. Chương 5: Sử dụng các kết quả nghiên cứu từ chương 3, chương 4 dé xây dụng công cụ quản lý và hỗ trợ kiểm soát bao mật Chương 6: Tổng kết đánh giá. Tài liệu tham khảo.1 Giới thiệu về hệ thống ERP và SAP ERP R/3 > Nguôn gốc hệ thống ERP Trong thập niên 1960, ERP khởi điểm như hệ thống lập kế hoạch và lên lịch cung cấp nguyên liệu cho quá trình sản xuất — Material Requirements Planning (MRP). MRP-II là mở rộng của MRP bao gom: Lap ké hoach kinh doanh (business planning), lap kế hoạch sản xuất (production planning), lập lịch sản xuất (Master production scheduling), kế hoạch cung ứng nguyên vật liệu (Material requirement planning), kế hoạch cung ứng nguồn lực sản xuất (Capacity requirement planning) va hệ thong điều hành các nguôn lực.
Những năm 1980, các phần mém quản lý sản xuất ra đời đã mở rộng ý nghĩa của MRP-II thành hệ thống bao gém quản lý toàn bộ hoạt động của doanh nghiệp. Năm 1990, tập đoàn Gartner đã đưa ra thuật ngữ ERP (Enterprise Resource Planning) bao gồm quản lý toàn bộ các hoạt động: Hoạt động sản xuất (Engineering), tài chính (Finance), nguồn nhân lực (Human Resource) và dự án (Project Manager). Có thé nói, thập ky 90 là thời ky hoàng kim của các hệ thống ERP, thu hút hang loạt các hãng phần mềm và nhiều tên tuổi đã trở thành huyền thoại trong làng CNTT thế giới như hãng SAP của Đức, Computer Associate, People Soft, JD Edward và Oracle của Mỹ. Các công ty đa quốc gia thi nhau triển khai ERP cho tất cả các chỉ nhánh của họ trên toàn cau.
Chi phí triển khai hệ thống này có thé lên đến hàng triệu đô la, doanh nghiệp không thé tự triển khai được mà phải dùng các chuyên viên tư vân được đảo tạo chuyên sâu. Năm 2000, Gartner tạo ra thuật ngữ ERP-II, được hiểu như một hệ thống công nghệ thông tin tích hợp và quản lý tập trung. Trong đó với nhân là ERP và các phân hệ mở rộng như quản lý chuỗi cung ứng (SCM), quan lý quan hệ khách hàng (CRM), quản lý tri thức (Knowledge Management - KM) được triển khai xung quanh dé hỗ trợ ERP-H. > Định nghĩa hệ thống ERP Hiện nay, trên thé giới có rất nhiều định nghĩa về ERP, theo mỗi cách nhìn khác nhau thì ERP lại có một định nghĩa khác nhau.
Sau đây trích dẫn các định nghĩa điển hình và phản ánh đầy đủ nhất về ERP. Trong CNTT, tài nguyên là bất kỳ phần mềm, phần cứng hay dữ liệu thuộc hệ thống mà có thé truy cập và sử dụng được. Nguồn lực mỗi 5 doanh nghiệp là hữu hạn vì thế ứng dụng ERP vào quản trị DN đòi hỏi DN phải biến nguồn lực thành tài nguyên that sự hữu ích. Làm cho mọi bộ phận của don vi đều có khả năng khai thác tài nguyên phục vụ cho DN.
Thiết lập được các quy trình khai thác đạt hiệu quả cao nhất. Luôn cập nhật thông tin tình trạng nguôn lực trong DN một cách chính xác, kip thời. Planning là khái niệm quen thuộc trong quản tri kinh doanh. Hệ thống ERP tính toán và dự báo các khả năng sẽ phát sinh trong quá trình điều hành sản xuất kinh doanh của DN.
Chăng hạn, ERP giúp nhà máy tính chính xác kế hoạch cung ứng nguyên vật liệu (NVL) cho mỗi đơn hàng dựa trên tổng nhu cầu NVL, tiễn độ, năng suất, khả năng cung ứng. Cách nay cho phép DN có đủ vật tư sản xuất nhưng vẫn không dé lượng tồn kho quá lớn gây đọng vốn. ERP còn hỗ trợ lên kế hoạch trước các nội dung công việc, nghiệp vụ cần trong sản xuất kinh doanh. Chăng hạn, hoạch định chính sách giá, chiết khấu, giúp tính toán ra phương án mua NVL, tính toán được mô hình sản xuất tối ưu.
Cách này giảm thiểu sai sót trong xử lý nghiệp vụ. Vậy ERP được xem như là một thuật ngữ được dùng liên quan đến một loạt hoạt động của doanh nghiệp, do phần mềm máy tính hỗ trợ, để giúp cho công ty quản lý các hoạt động chủ chốt của nó, bao gồm: Kế toán, phân tích tài chính, quản lý mua hàng, quản lý tồn kho, hoạch định và quản lý sản xuất, quản lý hậu cần, quản lý quan hệ với khách hàng, v. Mục tiêu tong quát của hệ thống nay là đảm bao các nguồn lực của doanh nghiệp như nhân lực, vật tư, máy móc và tiền bạc có sẵn với số lượng đủ khi cần, băng cách sử dụng các công cụ hoạch định và lên kế hoạch. > Chức năng hệ thống ERP Đặc trưng của hệ thống ERP là có cấu trúc phân hệ (module).
Từng phân hệ có thé hoạt động độc lập nhưng do bản chất của hệ thống ERP, chúng kết nối với nhau để tự động chia sẻ thông tin với các phân hệ khác nhau nhằm tạo nên một hệ thống mạnh hơn. Các chức năng ERP được thể hiện cách rõ rệt thông qua chức năng của từng phân hệ trong hệ thông ERP. ® CLIENTS 4 Inventory syuaidns “ & Supply Front-Office Functions Back-Office Functions Hình 2.1: Mô hình don giản khi áp dung hệ thong ERP. (Nguon: Simon Holloway, ERP - What does it mean to us today’) > Giới thiệu hệ thống SAP ERP R/3 Được thành lập vào năm 1972, SAP là nhà cung cấp giải pháp phan mém doanh nghiệp hang dau thế giới, với các sản phẩm đặc thù theo lĩnh vực cho hau hết tat cả các hoạt động của doanh nghiệp.
Giải pháp SAP ERP bao gồm các quy trình phô biến toàn cầu và được tích hợp trên tat các các bộ phận sản xuất, kinh doanh của doanh nghiệp giúp hợp lý hóa, thong nhất toàn bộ hoạt động doanh nghiệp, và các giải pháp triển khai nhanh chóng cho phép sớm thu được hiệu quả dau tư. Với SAP R/3 tất cả các bộ phận như sản xuất, quản lý đặt hàng và phân phối sản phẩm được liên kết với nhau với tốc độ nhanh hơn, chính xác hơn, và dịch vụ cho khách hàng tốt hơn. Hệ thống SAP ERP R/3 phù hợp và dễ dàng mở rộng đối với nhiều loại hình doanh nghiệp khác nhau. SAP ERP R/3 có khả năng tuỳ biến cao, sử dụng ngôn ngữ lập trình độc quyên ABAP, dựa trên nhiều kiến trúc phan cứng và phần mềm khác nhau, chạy trên hầu hết các hệ điều hành như UNIX, Windows, OS/400 với các hệ quản tri cơ sở dữ liệu như Oracle, DB2, Microsoft SQL.
Hệ thong SAP ERP R/3 được chia thanh cac phan hé chinh: ¢ MM - Quản lý nguyên vật liệu (Materials Management) 2 http://www.com/anal ysis/erp-what-does-it-mean-to-us-today/ 7 ¢ SD - Bán hàng và phân phối (Sales & Distribution) ¢ PP - Phân hệ sản xuất (Production Planning and Control) ¢ FI - Phân hệ kế toán tài chính (Financial Accounting) ‹ CO - Kiểm soát (Controlling) 2.2 Bao mát trong hệ thong ERP Các van dé bảo mật luôn tôn tại trong mọi khía cạnh hệ thống ERP, khi triển khai hệ thống ERP, doanh nghiệp cũng như các nhà tư van thường tập trung nhiều ngân sách, thời gian và vẫn đề kích hoạt chức năng kinh doanh, quản lý của ERP. Tuy nhiên, khi hệ thống đi vào hoạt động thì vấn đề bảo mật chưa được suy xét kĩ lưỡng cũng như chưa có chiến lược cụ thể. Theo Van de Riet, Janssen, and Gruijter (1998) đã tổng kết một số khía cạnh bảo mật cần quan tâm trong hệ thong ERPỀ. ¢ Xác thực người dùng (User authentication): Đảm bao chứng thực được người dùng khi đăng nhập vào hệ thống.
Xác thực có thể nhiều cấp độ như là truy cập vào dịch vụ đặc biệt, mật khẩu phụ hoặc các thiết bị hỗ trợ xác định người dùng. e Phân chia nhiệm vụ (separation of duties): Các nhiệm vụ (công việc) cua người dùng trong hệ thống cần được phân tách, không để người dùng lạm dụng quyên hạn của mình, với các công việc quan trọng, tránh gian lận cần được thực thi với một người dùng duy nhất. ¢ Gidi hạn thời gian (Just in time/ time restriction): Quyén truy cap chỉ được cho phép trong thời gian cần thiết. ¢ Phân quyên (Authorization/ role-versus-task): Người dùng được gan cho các quyền dé truy cập vào các nguôn tài nguyên, thông tin liên quan.
Đồng thời cũng giới hạn truy cập vào các thông tin không được phép. Điều này đòi hỏi hệ thống cần có phương thức phân quyên hợp lý. ¢ Ghi nhận và theo dõi (Log and Trace): Đề kiểm tra, theo dõi các sự kiện được thực hiện trong hệ thống và ghi nhận vào tập tin nhật kí nhằm kiểm soát các hoạt động trái phép khi truy cập vào hệ thông. ‹ Các chính sách bảo mật và người quan trị hệ thống (Security policy and administrator): Các chuyên gia ERP phải cung cấp các chính sách bảo vệ rõ ràng, cụ thé để có thé dễ dàng xác định và duy trì van dé an toàn trong hệ thống thông tin.
Các chính sách bảo mật sẽ cung cấp các quy tắc cho việc 3 Reind van de Riet, R., and de Gruljter, P. “Security Moving from Database Systems to ERP Systems.” Database and Expert Systems Applications, Proceedings, pp. 273-280 8 truy cập của đối tượng vào hệ thong. Do là những rang buộc đặt lên các quản trị viên khi họ sẽ cho phép/từ chối quyên truy cập cho người sử dụng.
¢ Data security: Dam bao dữ liệu luôn được bao mật thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính.) được cap phép, duy trì tính toàn vẹn và tính săn có của dữ liệu. Phân quyên trong hệ thong SAP ERP R/3 Hệ thong SAP ERP R/3 điều kiến truy cập thông qua vai trò. Trong nội bộ một tô chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được găn liền với một số quyền hạn cho phép thao tác một số hoạt động cụ thể (permissions).
Các thành viên, người dùng trong hệ thống được nhận các vai trò riêng và thông qua vai trò này họ nhận được những quyền hạn cho phép khi thi hành những chức năng cụ thể trong hệ thống (assignment).